ISPmanager - дефолтные пароли на пользователе mgrtest

Устанавливаем Ruby on Rails в панели управления ISPmanager.

ISPmanager Устанавливаем Ruby on Rails
Увеличить


ISPmanager пользователь mgrtest
Увеличить
После установки Ruby on Rails
В пользователях у нас появляется пользователь mgrtest с паролем mgrtest

ISPmanager панель управления
Увеличить
Благодаря этому пользователю mgrtest:mgrtest можем заходить в панель управления ISPmanager.

ISPmanager SSH mgrtest
Увеличить
А также по SSH коннектиться. И смотреть /etc/passwd, запущенные процессы, пользователей в системе, ключ SSL-сертификата в /usr/local/ispmgr/var/sslcert.tmp а также просматривать /tmp если неправильно настроен PHP open_basedir то там могут попадать конфигурационые фаилы сайтов. Вобщем делайте всё что пожелаете. )))

Решения:
1. Если только закрыть SSH:22 порт и разрешить доступ только для проверенных адресов, то скорее всего попытаются попасть на ваш сервер таки образом https://IP-servera/manager/ispmgr
2. Я сделал так: Оставить пользователя в системе. Но деактивировать его в ISPmanager как неактивного пользователя. неактивный пользователь
Какие нибудь последствия могут быть потом. Но думаю из можно решать активируя пользователя. т.е. данное решение не для массового использования. Возможно у пользователей не будут создаваться Rails проекты.

Разработчики ISPManager.com предупреждены и запрос передан в отдел «Technical ISPsystem».
  • 0

Нет комментариев